-354 Membres 1329 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

Alertes firewall

Posée par Seb Patte dans Administration

Bonjour,

j'ai régulièrement ces alertes sur mon SN510 :

  1. Débordement de la file de données TCP
  2. Mauvais protocole LDAP (syntax error)
  3. Débordement dans une URL
  4. NTP : taille du message supérieure à la valeur autorisée (NTPv3 length)
  5. DNS id spoofing
  6. Protocole DNS invalide (maximum pipelined request reached)

Une idée de ce qu'elles signifient et de leurs degrés d'importance ?

Comment les résoudre ?

Non résolue

2 liens entrants sur SN510

Posée par Seb Patte dans Administration

Bonjour,

aujourd'hui connecté par un lien d'un FAI, j'ai ajouté un second lien à mon Firewall.

ça fonctionne, via une règle mon PC utilise le nouveau lien pour sortir sur internet, le reste de l'entreprise utilise mon premier lien.

Par contre, j'aimerai configurer mon VPN pour utiliser les 2 liens:

chez mon provider j'ai dans mes DNS vpn.xxxx.eu qui a son entrée A sur l'IP du lien 1. En ajoutant vpn.xxxx.eu avec une entrée A sur l'IP du lien 2, je ne vois pas de changements.

En me connectant j'ai l'impression de toujours prendre le lien 1 : je ne vois pas de traffic sur mon lien 2

je teste https://vpn.xxxx.eu/auth ça marche
je teste https://IP_lien1/auth ça marche
je teste https://IP_lien2/auth ça ne fonctionne pas

Une idée ?

Résolue

SN500 Portail VPN Accès sécurisé

Posée par Marie N dans Administration

Bonjour,

J'avais mis en place sur mon SN500 le portail VPN avec accès sécurisé (application et serveurs) : totu fonctionnait correctement et d'un coup (sûrement un mauvais clic) l'onglet Accès sécurisé a disparu. Le portail est toujours accessible mais l'onglet n'apparait plus !

Il est donc imposible d'utiliser l'option ce que bloque l'utilisation de mon portail. Ma demande est plutot critque/urgente.

Merci d'avance.

Marie

SN 500 V 3.7.11

Non résolue

Accès esxi distant via VPN SSL au travers d'un tunnel IPSEC

Posée par Joffrey B dans Administration

Bonjour à tous,

Depuis vendredi je suis face à un problème que je n'arrive pas à résoudre.

J'ai un monté un tunnel IPSEC entre un SN300 et une pfsense en front sur un ESXI. Ce tunnel fonctionne et j'ai bien accès aux différentes VM de l'ESXI via mon bridge. 

Toutefois en ces temps difficiles, nous recourons au télétravail. J'ai donc des clients qui se connecte via le logiciel ssl stormshield et ça fonctionne. Mes clients ont bien accès au réseau local dans mon bridge, mais je n'arrive pas à accéder aux VMs de mon esxi. 

Côté configuration VPN IPSEC, mon réseau SSL est bien présent dans un objet réseau local (de même que mon réseau interne).

Côté filtrage et NAT, j'ai une règle qui laisse passer tout mon traffic depuis mon réseau SSL vers mon remote (réseau coté esxi).

J'ai une route statique qui indique la passerelle à utilisé pour mon remote (réseau esxi).

La je coince un peu niveau idée.

Auriez vous une piste que je puisse explorer svp ?

Je vous...

Voir la suite
Non résolue

Superviser la qualité du lien sur stormshield

Posée par Dem Sy dans Administration

Bonjour,

Je cherche sur Stormshield une fonctionnalité qui permettrait de mettre des indicateurs (seuils) qui seront vérifiés en continu pour savoir si la lien satisfait aux critères.

Il s'agit d'une fonctionnalité identique à celle dite IP-SLA de Cisco ou Link-Monitoring de Fortigate. 

Exemple: Mettre:

- débit = 10 Mbits/s

- gigue = 10ms

- perte =  1%

Et être en mesure de contrôler en continu ces kpi pour qualifier le lien pour des besoins de supervision ou pour basculer le trafic.

Je suis vraiment dans la galère :-(

Merci à vous

 

Non résolue

Création de compte sur mystormshield

Posée par Fighter 777 dans Administration

Bonjour,

Est-il possible de créer un compte sans numéro de siret ?

 

Je compte acheter un pare-feu d'occasion pour mon usage personnel et je ne veux pas créer de compte utilisateur perso sur l'entreprise de mon compte pro :S


Merci d'avance.

Non résolue

The GreenBow avec Netasq

Posée par Guillaume V dans Administration

Bonjour,

Je recherche 1 coup de main sur 1 problème que je n'arrive pas à comprendre.

Je veux administrer 1 Netasq v9 et les serveurs placés derrière depuis 1 PC d'admin, via un Tunnel VPN. Pour cela j'ai The GreenBow. J'arrive à monter le Tunnel, mais je n'arrive à rien.

Je ne peux pas administrer mon NetAsq depuis le PC via le Tunnel. l'IP du PC est bien autorisé pour le Webadmin. Les flux passent bien dans le Tunnel. L'écoute réalisé sur le Netasq (tcpdump enc0) montre bien le SYN, le SYN/ACK, mais jamais le ACK. Pourtant le Ping de fonctionne.

Lorsque je coupe le Tunnel, tout fonctionne.

Un autre comportement que je ne comprend pas. En activant le slot "Pass All" j'arrive à joindre les serveurs (Bureau à distance) situés derrière le NetAsq, avec le Tunnel ouvert.

Si j'active le slot ou se trouve mes règles de flux, toujours avec le Tunnel ouvert, j'ai le même fonctionnement qu'avec le WebAdmin (SYN, SYN/ACK, mais pas de ACK)

Quelqu'un aurait-il 1 idée pour m'aider...

Voir la suite
Non résolue

ssl server rejected the connection

Posée par Palma Alexandre dans Administration

Bonjour , 

Le proxy ssl de mon stormshield semble bloquer la connexion à un site malgré que celui ci ne soit pas dans une classification interdite , j'ai aussi essayé de modifier les paramètres ssl > proxy en étant le plus permissif possible mais toujour pas d'accès au site , j'ai l'erreur : ssl server rejected the connection dans les logs . Avez vous une idée sur le paramètrage a effectuer pour autoriser ce site. Merci.

Non résolue

Configuration NAT

Posée par Jean Korn dans Administration

Bonjour, j'aurai besoin d'un peu d'aide.

Il faudrait que j'ajoute une règle à notre stormshield pour permettre l'accès à partir d'un internet à un serveur.

Je souhaite que le visiteur qui accède à  "mon-ip-public:8083" soit dirigé vers "monserveurlocal:443" pourriez-vous m'éclairer sur la manière de paramétrer le stormshield ?

Merci

Résolue

Ping aléatoire en outside

Posée par T H dans Administration

Bonjour, je suis administrateur réseau dans une entreprise et nous avons récemment achetés deux stormshield SN510, sur l'un d'entre eux j'ai configuré :

-une interface outside (qui va vers un autre routeur interne qui renvoie vers internet)

-une interface inside (qui va vers le réseau 192.168.95.X/24)

J'ai configuré les routes et les règles de filtrage d'interface à interface.

J'ai un pc en 192.168.95.100 dans inside qui arrive a ping 8.8.8.8 google.fr par exemple

mais celui-ci ne ping pas psg.fr (exemple), il ping un site sur deux ce que je ne comprends absolument pas ! exemple :

Aucun proxy n'est présent sur le réseau.

le nslookup arrive a tout résoudre.

le traceroute m'indique le bon chemin et part bien sur l'autre routeur interne qui lui n'a aucun problème.

Une fois arrivé sur un navigateur même les ip que j'arrive à ping, je n'arrive pas à les atteindres sur le navigateur.

Pouvez-vous m'aider a comprendre pourquoi ce stormshield bloque la connection ?

 

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Résolue

Compatibilité client SSL 32b SNS 3.7 ?

Posée par Julien Auger dans Administration

Bonjour,

Est-ce que la version 3.7 LTSB est compatible avec le client SSL en version 2.4 (le dernier à être compatible 32b me semble) ?

 

J'avais trouvé la liste des compatibilité sur la base documentaire mais impossible de remettre la main dessus...

 

Merci.

 

Bonne journée

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Messages d'alerte